本节书摘来异步社区《Java编码指南：编写安全可靠程序的75条建议》一书中的第1章，作者：【美】Fred Long（弗雷德•朗）, Dhruv Mohindra（德鲁•莫欣达）, Robert C.Seacord（罗伯特 C.西科德）, Dean F.Sutherland（迪恩 F.萨瑟兰）, David Svoboda（大卫•斯沃博达），更多章节内容可以访问云栖社区“异步社区”公众号查看。

第1章 安全

Java编程语言及其运行时系统在最初被设计时就考虑到了安全性。例如，指针操纵对程序员来说是不可见的、隐式的，任何引用空指针的尝试都会导致抛出异常。相似地，如果对数组或者字符串的尝试访问超出了边界，那么也会导致异常。Java是一种强类型的语言，所有的隐式类型转换都定义得非常明确，而且与平台无关，算术类型及其转换也是如此。Java虚拟机（Java Virtual Machine，JVM）有一个内置的字节码校验器，可以确保被执行的字节码符合Java语言规范Java SE 7版（JLS），因此所有在语言中定义的检查都能生效，无一例外。

Java类加载器机制能够识别出那些被加载到JVM的类，并且能够区分出可信的系统类和不可信的其他类。通过对来自外部的类进行数字签名，可以为这些类赋予相应的特权；这些数字签名也能被类加载器检测到，从而有助于对类的识别。Java还提供了一个细粒度可扩展的安全机制，使程序员能够对其希望使用的资源进行访问控制，如系统信息、文件、网络套接字以及任何其他安全敏感性资源。这种安全机制需要一个运行时安全管理器，用于强制执行安全策略。安全管理器及其安全策略通常是通过命令行参数指定的，但有时也可以通过编程方式进行安装，前提是这样的动作没有被现有的安全策略所禁止。通过类加载器机制提供的识别功能，资源访问特权可以被扩展到非系统Java类中。

企业级Java应用程序容易受到攻击，因为它们接受不被信任的输入并与多个复杂的子系统进行交互。如果某个子系统易受注入攻击（如跨站脚本攻击[XSS]、XPath注入和LDAP注入）影响时，那么就可能导致整个系统都受到影响。一种有效缓解威胁的策略是：只接受白名单允许的输入；如果输入的值需要被渲染，那么要先对其进行编码或转义，然后再输出。

本章包含的指南重点关注如何确保基于Java的应用程序的安全。这些指南将覆盖以下4个方面。

（1）处理敏感数据。

（2）避免受到常见的注入攻击。

（3）被滥用并导致安全威胁的语言特性。

（4）Java细粒度安全机制的细节。

本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。